Pelo que posso dizer, a menos que exista uma interface usando a zona confiável que é reconhecida diretamente pelo firewalld (ou seja, eth0), a zona confiável não está marcada como ativa. Para contornar isso, você pode definir explicitamente a regra iptables com o seguinte:
firewall-cmd --permanent --zone=trusted --add-interface=docker0
firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 3 -i docker0 -j ACCEPT
firewall-cmd --reload
systemctl restart docker
O '3' aqui é onde, na sua cadeia INPUT, a regra será inserida e sua milhagem pode variar. Depois de executar esses comandos, consegui acessar as portas do host de um contêiner.